Drucksache 18/12850
cc)
– 668 –
Deutscher Bundestag – 18. Wahlperiode
Beginn der Erstellung des IT-Sicherheitskonzepts
Das IT-Sicherheitskonzept sei sodann parallel zum sog. Proof of Concept (Beginn im September 2013) initiiert worden.3222 Der vom BND abgeordnete Mitarbeiter, Zeuge A. Sch., habe – für den Zeitraum des PoC
unterstützt von einem Kollegen aus der Abteilung IT des BfV3223 – mit der Erstellung des Sicherheitskonzepts begonnen.3224 Die Arbeit sei von im BfV dafür zuständigen Bereich3225 IT-Sicherheitsmanagement
(IT SiM) fortgeführt worden.3226 Die Erstellung dieses Konzepts sollte bis nach dem Untersuchungszeitraums
dauern.3227
Im Rahmen der Erstellung des IT-Sicherheitskonzepts gab es Ende 2013/Anfang 2014 mehrere Besprechungen der im BfV involvierten Referate.
Laut der IT-Sicherheitsbeauftragten des BfV, Zeugin Genkova, erfolgte die Erstellung des Sicherheitskonzepts nach den üblichen BSI-Standards.3228 Zunächst wurde eine Infrastrukturanalyse durchgeführt, eine Aufstellung der zum Einsatz kommenden Hard- und Software. Weiterhin wurde geprüft, ob weitere relevante,
das IT-Sicherheitskonzept ergänzende Konzepte wie Virenprüfkonzept oder Betriebskonzept vorhanden waren.3229
Informationen wurden im Rahmen der sog. Interviewtechnik eingeholt, bei der die Mitarbeiter des Bereichs,
der XKEYSCORE betreute, zu technischen Fragen Auskunft geben sollten.3230 Insbesondere stand der zum
BfV abgeordnete BND-Mitarbeiter den Kollegen des IT-Sicherheitsmanagements als Ansprechpartner zur
Verfügung.3231
dd)
Dauer der Erstellung des IT-Sicherheitskonzepts
Der Ausschuss ist der Frage nachgegangen, weshalb die Erstellung des Sicherheitskonzepts einen derart langen Zeitraum beanspruchte, und hat daher Folgendes festgestellt:
Im BfV hatte man großes Interesse am alsbladigen Übergang in den Wirkbetrieb3232, die Zeugen begründeten
aber den Zeitraum der Konzeption mit dem hohen Aufwand der Erarbeitung der Sicherheitsvorkehrungen
und der fortlaufenden Anpassung des Konzepts aufgrund der Änderungen der technischen Rahmenbedingungen von XKEYSCORE.
–
Die IT-Sicherheitsbeauftragte des BfV, Zeugin Genkova, hat allgemein ausgeführt, die Dauer einer
Testphase und der Erstellung eines Sicherheitskonzepts hänge stark von der Komplexität eines Systems ab, inwieweit unterschiedliche Betriebssysteme und andere betriebsnahe Software eingesetzt
3222)
3223)
3224)
3225)
3226)
3227)
3228)
3229)
3230)
3231)
3232)
Genkova, Protokoll-Nr. 89 I, S. 98; vgl. Berzen, Protokoll-Nr. 94 I, S. 77.
Delmdahl, Protokoll-Nr. 86 II – Auszug offen, S. 46.
Delmdahl, Protokoll-Nr. 86 I, S. 50; vgl. A. Sch., Protokoll-Nr. 77 III – Auszug offen, S. 13.
Genkova, Protokoll-Nr. 89 I, S. 117.
Genkova, Protokoll-Nr. 89 I, S. 110.
Delmdahl, Protokoll-Nr. 86 I, S. 30.
Genkova, Protokoll-Nr. 89 I, S. 99.
Genkova, Protokoll-Nr. 89 I, S. 99, 122.
Genkova, Protokoll-Nr. 89 I, S. 99.
Genkova, Protokoll-Nr. 89 I, S. 124/125.
Berzen, Protokoll-Nr. 94 I, S. 75; vgl. Delmdahl, Protokoll-Nr. 86 I, S. 50; vgl. Dr. Maaßen, Protokoll-Nr. 102 I,S. 150.